• Что вижу: На почту прилетело письмо якобы от нашего любимого sberbank.ru, но глаз зацепился за домен отправителя: sberbanк.ru. Видишь? Кириллическая «к» вместо латинской «k». Классический гомоглиф. Сайт-клон, один в один слизанный с оригинала, с зелёным замочком от Let’s Encrypt, чтобы юзеры не напрягались.
• Как поймал: Визуально, на опыте. Но для системного подхода — dnstwist. Запусти dnstwist --homoglyph sberbank.ru, и он тебе вывалит целый зоопарк таких вот красавцев. Инструмент для параноиков и нас с тобой.
• Чем пахнет: Фишинг / Сбор учётных данных (Credential Harvesting). Вероятность успеха — 8/10. Народ до сих пор ведётся на «бесплатный Wi-Fi» и «вы выиграли iPhone», а тут почти легитимный домен.
Че почем:
• Эксплойт: Тут эксплойт не в коде, а в голове у юзера. Payload — это само письмо с текстом «Ваша карта заблокирована, срочно войдите для разблокировки» и ссылкой на hxxp://sberbanк.ru/login. На той стороне — простейший PHP-скрипт:
|
1 2 3 4 5 |
<?php file_put_contents('credentials.txt', "Login: " . $_POST['login'] . " Pass: " . $_POST['password'] . "\n", FILE_APPEND); header('Location: https://www.sberbank.ru/ru/person'); // Редирект на настоящий сайт exit(); ?> |
• Юзер вводит креды, его кидает на настоящий Сбер, он думает «глюк, надо заново» и забывает. А пароль уже в credentials.txt на сервере у какого-то ноунейма.
• Обход защиты: Обходит все: антивирусы (ссылка не вредоносная), спам-фильтры (если домен новый и не в блэклистах), и главное — мозг человека. Защита тут — DMARC на основном домене, чтобы такие письма не проходили, и внимательность, которой ни у кого нет.
• Доказательство: Скриншот не нужен. Просто curl -s hxxp://sberbanк.ru/login | grep "password". Видишь <input type="password" name="password"> в форме, которая отправляет данные на левый домен? Это не баг, это фича для сбора твоих паролей.
Советы:
Если ты на стороне защиты и хочешь прикрыть эту лавочку, а не просто поржать:
• План атаки (на фишера):
1. Разведка: Пробей whois и IP-адрес фишингового домена. Часто это дешёвый хостинг, где всем на всё плевать. Запусти nmap -A -p- a.b.c.d на их IP. Ищи открытые порты, админки, старые версии ПО.
2. Контратака (Meta-Hack): Фишеры — ленивые ублюдки. Они часто оставляют на своих серверах дыры. Ищи /.git/, /.env, config.php.bak. Если повезёт, найдёшь там их почту или ключи к другим ресурсам. Взломать фишера — это не преступление, это санитарная обработка интернета.
3. Takedown: Напиши абузу хостеру и регистратору домена. Приложи доки. С вероятностью 70% сайт снесут в течение 48 часов.
4. Превентивные меры: Настрой у себя в конторе мониторинг новых доменов через dnstwist или платные сервисы. И пуш DMARC с политикой p=reject. Это как кастрация для фишинговых писем с твоего домена.
